近日,有新浪微博用户反映,在他们不知情的情况下,他们的账号自动点赞了营销账号,甚至色情内容。 该用户表示,尝试微博服务中心提供的解决方案后,异常点赞情况并未得到改善。
南都记者发现微博加粉丝软件,2017年以来,类似情况频频发生。有安全专家表示,可能是网络劫持、不安全的第三方应用劫持、撞库等造成的,用户通过避免使用或许可以改善这种情况统一密码,谨慎使用第三方授权,使用加密链接访问。
***
微博用户无缘无故自动喜欢色情内容
近日,来自广东的小柯(化名)在使用新浪微博时,发现自己的点赞记录中有很多非他操作的异常点赞。 点赞的对象既包括大V、公共机构,也包括营销号。 内容涉及明星、最近流行的综艺、私家侦探广告等,甚至还包含一些露骨的色情内容。
异常点赞的内容包括最近火爆的综艺节目《乘风破浪的姐姐》。 照片由受访者提供。
在微博上搜索“买点赞”显示,近年来有过类似经历的网友不计其数。 有网友晒出截图,点赞量异常多的集中在代购、修眉、丰胸、减肥、婚纱照等广告帖子,以及有关明星的营销内容。 此外,这些微博还有一个特点。 虽然点赞数有几千多,但大多只有零星的评论。
此外,南都记者还在知乎、豆瓣等平台上看到了关于“微博为何会出现类似异常事件”的讨论,不少网友讲述了自己的经历。
“(我的微博)从2018年就有了。”小柯告诉南都记者。 “我的朋友最近从我的微博主页上看到了它。 她说,‘你为什么喜欢一些色情内容? ?’”小可认为,异常点赞影响了她的个人形象,侵犯了她的个人隐私。
小可认为,异常受欢迎的色情内容对她的形象影响很大。 照片由受访者提供。
针对此类情况,微博服务中心建议用户升级客户端、及时修改密码、启用双因素认证、清除第三方应用权限等操作。
“我按照提示做了我需要做的一切,但点赞仍在继续。” 小柯说道。 更让她生气的是,她向客服中心投诉上述情况后,至今还没有得到任何回复。
***
专家:网络劫持和撞库可能是主要原因
明明你的账号和密码都在你自己手里,为什么还要被别人利用呢? 南都记者梳理发现,自2017年以来,类似问题时有发生。
2017年至2018年,官方微博账号@微博安全中心公布了三批近400个点赞严重异常的账号。 当时微博表示,主要原因是“用户访问不安全的网络后被劫持”。
2018年,浙江绍兴警方破获一起不法公司利用运营商管理漏洞劫持流量的案件。 全国96家互联网公司用户数据被盗微博加粉丝软件,微博就是其中之一。
据了解,犯罪团伙在运营商内部服务器上放置了自行编写的恶意程序。 当用户的流量经过运营商的服务器时,程序会自动运行,清理和收集用户cookie(用户登录网站论坛的账号密码等数据记录)等关键数据。 下游企业将利用泄露的数据来控制用户账号在微博等社交平台上的点赞、关注等。
今年4月30日,@微博安全中心再次发布公告称,近期被劫持的用户集中在PC端、山东省移动和电信网络。 虽然没有导致账户信息被盗,但确实劫持了点赞和关注。
至于点赞异常的其他可能原因,全智科技CEO方兴告诉南都记者,有些是因为用户账号被盗,有些是因为用户自身密码较弱被猜到,还有一些可能是问题导致的由第三方。 例如,被不安全的第三方应用劫持; 另一个例子是撞库,即黑客利用第三方泄露的个人信息来填充凭证。 如果密码相同则匹配成功。
***
20元可以买500个“真”粉丝
不是为了盗取账户,而是为了“借用”来点赞和关注其他账户。 这实际上是制造虚假流量的常见方法。
“点赞和流量有直接关系。”北京汉华飞天科技有限公司技术总监彭根告诉南都记者。 有一些公司专门通过增加特定帐户的关注者、点赞、转发和评论来赚钱。 钱。
南都记者搜索发现,购买微博粉丝等灰色手段依然存在。 例如,卖家将微博粉丝分为初级、高级、顶级、高级等不同级别。 顶级和优质都是真人微博,有自己的粉丝和博文。 高级微博只有头像,初级微博只是化妆。 其中,最贵的顶级活跃粉丝500个20元,卖家承诺一小时内完成增粉。
测试的微博一小时内获得了 500 名粉丝。
该卖家还告诉南都记者,即使微博自动清粉丝,这些粉丝也不会被清。 南都记者发现,使用微博“正确关注者”功能后,500名新关注者中只有30人被清除。
此外,南都记者随机挑选了10名新粉丝,给他们私信。 然而,一天之内没有粉丝回应。 一位熟悉黑产业的安全专家告诉南都记者,卖家所谓的“真粉丝”虽然经常更新博文,看似真人操作,但实际上是黑产业中的机器创造的。
去年7月的腾讯安全沙龙上,腾讯网络安全与犯罪研究基地高级研究员张宝峰介绍,随着整个互联网行业的技术战略对抗不断升级,虚假流量的黑灰操作也随之更新。 。
他表示,最新的刷单方式是手动刷单和机器刷单相结合——首先通过人际网络渠道收集、租用或租赁大量真实账户,将这些账户与下游刷单平台连接起来,然后通过自动刷单使用刷单平台。增加关注者、转发、签到、点赞、列出等。
安全提示:
为防范微博异常点赞等风险,隐私卫士建议:
1. 避免使用单一密码。 我们建议您在填写密码时,可以根据重要程度进行区分,避免某个网站的信息泄露影响其他应用的账户。
2、谨慎使用第三方授权。 当您通过微博、微信、QQ等第三方授权账号登录某些网站和应用时,该网站不会获取您的密码,但很有可能会要求您提供一些看似必要但实际上涉及隐私的信息。 某些网站此信息可能会被用于不正当目的。
3. 使用加密链接访问。 为了防止网络通信劫持,在计算机上访问网站时,如果该网站支持HTTPS(超文本传输安全协议),请尽量使用加密链接进行访问。 具体方法是在URL前手动添加“”。
报道:南都记者 李慧琪